個人情報保護法Web講座

この記事を読むために必要な時間は約4分(1347文字)です。

情報漏えい時の個人情報取扱事業者の義務とは? その3

個人情報取扱事業者の義務」の概略については、既にお話しました。
この「個人情報取扱事業者の義務」の中から、全6回にわたって、情報が漏えいなどした時の義務についてお話をしています。
今回はその第3回目です。

苦情処理に関する個人情報取扱事業者の義務
  1. 取得
  2. 利用
  3. 保管
  4. 監督
  5. 提供
  6. 情報管理
  7. 苦情処理
  8. 漏えい・滅失・毀損

漏えいなど

漏えいなどに関する義務です。
この義務は下記の2つに分かれています。
  1. 漏えいなどの事案が発覚した場合に行うべき措置
  2. 個人情報保護委員会等への報告

前回に引き続き、今回は義務の内容のうち、「漏えいなどの事案が発覚した場合に行うべき措置」についてお話します。

漏えいなどの事案が発覚した場合に行うべき措置

行うべき措置の内容は次のとおりです。
  1. 事業者内部における報告及び被害の拡大防止
  2. 事実関係の調査及び原因の究明
  3. 影響範囲の特定
  4. 再発防止策の検討及び実施
  5. 影響を受ける可能性のある本人への連絡等
  6. 事実関係及び再発防止策等の公表
順番にお話します。
前回「事業者内部における報告及び被害の拡大防止」のお話をしましたので、今回は、「事実関係の調査及び原因の究明」から「再発防止策の検討及び実施」のお話します。
次回、「影響を受ける可能性のある本人への連絡等」と「事実関係及び再発防止策等の公表」のお話をする予定です。

事実関係の調査及び原因の究明

実際に起こった(と判明している)情報漏えい・滅失・毀損であれば、事実関係の調査必要な場合もあれば、不必要な場合もあるでしょう。
しかし、情報漏えい・滅失・毀損の「おそれ」の場合は、実際には何が起こったか、何が判明していて、何が不明なのか?という事実確認必須です。
また、いずれの場合であっても、原因の究明必要になります。
原因の究明は次のようなことを調査して特定します。
  1. 盗んだ手段
  2. 盗まれた原因
わかりにくいので、例を挙げてみます。

PCやサーバなどのデータの場合

盗んだ手段ネットワークで送信された
盗まれた原因ウィルスに感染していた

紙などの物の場合

盗んだ手段書類棚から持ち出された
盗まれた原因鍵がかかっていなかった

影響範囲の特定

調査によって、原因がわかったら、次は「影響範囲の特定」です。
原因により「引き起こされ」ことから、影響範囲を特定するのです。
「引き起こされ」ではないので、ご注意ください。
原因から想定される範囲の検討とその検討結果について調査し、影響範囲を特定するのです。

影響範囲とは、具体的には次のような内容です。
  • 盗まれた個人情報の対象者数
  • 盗まれた個人情報の内容

再発防止策の検討及び実施

検討

究明された原因に対して効果のある再発防止策を検討します。
ウィルス感染が原因であれば・・・  どこから感染したのか?
対策ソフトは動作していたのか? 

書類棚からの持ち出しであれば・・・ 施錠の確認ルールはあるのか?
実際に確認は実施されているのか?
など、いろいろな側面から再発防止策が検討します。

実施

検討しただけでは意味がないので、速やかに実施します。

次回は残りの「影響を受ける可能性のある本人への連絡等」と「事実関係及び再発防止策等の公表」のお話です。

タグ:, , ,


広告枠・・・広告やリンク先の保証はしません

参考記事(一部広告含む)


このページの記事についてちょっと質問!